Documentation Oracle Cloud Infrastructure

Mise à jour du chiffrement du système de fichiers

File Storage avec des systèmes de fichiers Lustre utilisent des clés gérées par Oracle pour chiffrer un système de fichiers par défaut, ce qui laisse à Oracle toutes les questions liées au chiffrement. Vous pouvez éventuellement crypter les données d'un système de fichiers à l'aide de votre propre clé d'encodage Vault.

Pour crypter un système de fichiers avec votre propre clé, assurez-vous qu'au moins un coffre de clés et une clé du service Vault. Pour plus d'informations, reportez-vous à Présentation de Vault.

Attention

Veillez à sauvegarder les coffres et clés. La suppression d'un coffre et d'une clé signifie sinon que vous perdez la capacité à décrypter toutes les ressources ou données que la clé a été utilisée pour crypter. Pour plus d'informations, reportez-vous à Sauvegarde et restauration de coffres et de clés.

Stratégie IAM requise

Les systèmes de fichiers cryptés à l'aide de votre propre clé nécessitent la possibilité de lire les clés stockées dans Vault. File Storage with Lustre utilise des principaux de service pour accorder l'accès à la clé Vault.

Créez des stratégies IAM qui permettent aux services et aux utilisateurs d'accéder aux clés Vault :

allow service blockstorage to use keys in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow service lustrefs to use key-delegate in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow service lustrefs to read keys in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'
allow group <user-group> to use key-delegate in compartment <key_compartment_name> where target.key.id='<OCID_of_key>'

Pour plus d'informations, reportez-vous à File Storage with Lustre Policies.

    1. Sur la page de liste Systèmes de fichiers Lustre, recherchez le système de fichiers avec lequel vous souhaitez travailler. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à Liste des systèmes de fichiers.
    2. Dans le menu Actions (trois points) du système de fichiers, sélectionnez Modifier la clé de cryptage.
    3. Dans le panneau Modifier la clé de cryptage, sélectionnez le mode de gestion des clés qui chiffrent le système de fichiers.
      • Utiliser les clés gérées par Oracle : sélectionnez cette option pour laisser à Oracle toutes les questions relatives au cryptage.
      • Utiliser les clés gérées par le client : sélectionnez cette option pour crypter le système de fichiers à l'aide d'une clé propre stockée dans OCI Vault. Vous pouvez ainsi effectuer une rotation, la désactiver et la supprimer si nécessaire. Après avoir sélectionné cette option, sélectionnez le coffre qui contient la clé et la clé elle-même.
    4. Sélectionnez Mettre à jour.

  • Utilisez la commande oci lfs lustre-file-system update et le paramètre --kms-key-id pour mettre à jour la méthode de cryptage d'un système de fichiers :

    oci lfs lustre-file-system update --kms-key-id <encryption_key_OCID>

    Pour obtenir la liste complète des paramètres et des valeurs des commandes de la CLI, reportez-vous à Référence des commandes de la CLI.

  • Exécutez l'opération UpdateLustreFileSystem avec l'attribut kmsKeyId pour mettre à jour la méthode de cryptage d'un système de fichiers.

    Pour plus d'autres informations sur l'utilisation de l'API et sur la signature des demandes, reportez-vous à ladocumentation relative aux API REST et aux informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.